経済産業省は4月19日、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を策定し公開しました。セキュリティ検証サービスの高度化を目的としています。

IoT機器において、セキュリティ上の脅威に繋がりうる脆弱性の有無や、セキュリティ対策の妥当性を確認するには、セキュリティ検証が有効です。一方、従来の検証サービスは、検証者の暗黙知に依存していることが多く、効果的な検証手法が確立されていませんでした。

この課題などを踏まえて、検証サービス事業者や検証依頼者が実施すべき事項と、依頼者が持つべき知識、サービス事業者と依頼者の両者間で共有すべき情報や留意すべき事項などについて整理したのが、この手引きです。

手引きは本編と３つの別冊によって構成されています。本編では、IoT機器に適用される検証手法のうち、特にソフトウェアおよびファームウェアに関する検証手法について具体的な手順を示しています。

別冊１では、具体的な検証に係る手順や脅威分析の手法を、別冊２では、主な検証依頼者である機器メーカーが検証を依頼するにあたって実施すべき事項や用意すべき情報について記載しています。

別冊３では、検証サービス事業者における検証に従事する人材の育成にフォーカスを当て、「検証人材」のキャリアを構想・設計する上で考慮すべき観点について示しています。